ハッシュされたクレデンシャルを含む LDAP フィールドの名前を指定します。
値がこの設定に指定されると、この設定は
pws_atr_name setting をオーバーライドします。
LDAP サーバーはパスワード・サポートを自動的に行います。
LDAP サーバーは、ハッシュ値を使用できないように設定されている場合、
ユーザー・パスワードを保管します。その場合、要求処理コンポーネントはこれらのパスワードを使用して要求の妥当性検査を行います。
この認証方法の場合、ユーザー・パスワードがインターネット上で漏えいするおそれがあるので、
要求を認証する際に、ハッシュされたクレデンシャルを使用できるようにする必要があります。
ハッシュされたクレデンシャルを使用可能に設定すると、
LDAP サーバーはユーザー、パスワード、およびレルム情報のハッシュ値を保管します。
その場合、SIP コンテナーは、ユーザー・パスワードを求める代わりに、LDAP サーバーからこのハッシュ値を要求します。
この方法では、ハッシュ・データがインターネット上で漏えいして改ざんされても、パスワードは保護されます。
ただし、この方法には以下の制限事項があります。
- LDAP 属性で、バイト値またはストリング値を保管する必要があります。他の属性タイプはサポートされません。
- アプリケーションのすべてで同一レルムを共用するか、または各レルムに異なる属性を定義する必要があります。
- ハッシュ関数は MD5 ではない場合があります。この場合、SIP コンテナーは、
属性に対する計算値とは異なるアルゴリズムを送信します。
この状態になると、ユーザーが適切なクレデンシャルを与えた場合でも、ユーザー認証が失敗する可能性があります。
ハッシュされたクレデンシャルを、LDAP サーバーで使用できるようにするには、
次の 2 つの設定を定義する必要があります。
- Hashedcredentials=value。ここで value は、ユーザー、パスワードおよびレルムのハッシュ値を保管する LDAP 属性の名前を表します。
- Hashedrealm=value。ここで value は、ハッシュ値を計算するレルムを表します。